Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANÇA DA INFORMAÇÃO
ARQUIVÍSTICA: O CONTROLE DE ACESSO EM
ARQUIVOS PÚBLICOS ESTADUAIS
MONOGRAFIA DE ESPECIALIZAÇÃO
por
elaborada por
Josiane Ayres Sfreddo
COMISSÃO EXAMINADORA:
AGRADECIMENTOS
Ao Prof. Dr. Daniel Flores, orientador desta monografia, por todo empenho, sabedoria,
compreensão e exigência.
Por fim, a todas as pessoas que, direta ou indiretamente, contribuíram para a execução
desta pesquisa.
5
RESUMO
Monografia de Especialização
Curso de Pós-Graduação a Distância
Especialização Lato-Sensu em Gestão em Arquivos
Universidade Aberta do Brasil
Universidade Federal de Santa Maria
Este trabalho apresenta uma investigação científica baseada no estudo a respeito das
políticas de controle de acesso adotadas em Arquivos Públicos Estaduais. Para isso, busca
identificar as ações adotadas para controlar o acesso documental e garantir a segurança das
informações públicas, tendo como referência os requisitos teóricos das Normas ISO 15489-1;
e-ARQ; e da ABNT NBR ISO/IEC 27002. Uma pesquisa realizada no sítio do Conselho
Nacional de Arquivos (CONARQ), buscando apenas por arquivos que possuíssem um site
acessível para contato, possibilitou definir as instituições que participariam da pesquisa. Após
isso, foi possível preparar o instrumento de coleta de dados, por meio de questionário enviado
por correio eletrônico (e-mail), aplicados aos responsáveis dos Arquivos Públicos Estaduais,
selecionados para o estudo. Foi possível verificar que, além de proporcionar medidas de
segurança para o arquivo, de alguma forma os arquivos preocupam-se com a segurança da
informação que será repassada aos usuários. Os resultados obtidos salientam a importância da
definição da política de controle de acesso nos arquivos públicos estaduais, embasada em
regulamentos, normas e legislação que abordem as ações de controle de acesso que já são
realizadas e ainda fundamentadas em outras ações que poderão ser implementadas
objetivando reforçar e proteger, ainda mais, a segurança das informações públicas.
ABSTRACT
Monografia de Especialização
Curso de Pós-Graduação a Distância
Especialização Lato-Sensu em Gestão em Arquivos
Universidade Aberta do Brasil
Universidade Federal de Santa Maria
This paper presents a scientific research based in a study concerning the access control
policies adopted in the State Public Archives. For this, seeks to identify the actions taken to
control access to documentary and ensure the security of public information, with reference to
the theoretical requirements of Standars ISO 15489-1; e-ARQ, and ABNT NBR ISO/IEC
27002. A survey on the site of the National Council on Archives (CONARQ), just looking for
files that possessed an accessible website for contact, enabled us to define the institutions that
would participate in the research. After that, it was possible to prepare the instrument for
collecting data through a questionnaire send by electronic mail (e-mail), applied to those
responsible of State Public Archives, selected for the study. It was concluded that, besides
providing security measures for the file, otherwise the files are concerned about the security
of information that will be passed on the users. The results underline the importance of
defining of access control policy in the state public archives, based on regulations, standards
and legislation that address the access control actions already undertaken and still reasoned on
the other actions that could be implemented aiming at reinforce and protect, even more, the
security of public information.
LISTA DE FIGURAS
LISTA DE QUADROS
LISTA DE GRÁFICOS
LISTA DE TABELAS
LISTA DE APÊNDICES
SUMÁRIO
1 INTRODUÇÃO ........................................................................................... 15
1.1 Justificativa ...................................................................................................................... 16
1.2 Objetivos .......................................................................................................................... 17
1.2.1 Objetivo geral ................................................................................................................. 17
1.2.2 Objetivos específicos ..................................................................................................... 18
1.3 Problema de pesquisa ..................................................................................................... 18
2 FUNDAMENTAÇÃO TEÓRICA ............................................................... 19
2.1 Os arquivos e a informação arquivística ....................................................................... 19
2.1.1 Políticas Públicas Arquivísticas ..................................................................................... 20
2.2 Gestão de documentos .................................................................................................... 21
2.3 Normas de Descrição Arquivísticas: ISAD (G) e Nobrade ......................................... 24
2.4 Análise de Normas relevantes ao estudo: ISO 15489, e-ARQ e ABNT NBR
ISO/IEC 27002 ...................................................................................................................... 25
2.4.1 Information and documentation - Records management - ISO 15489-1 ....................... 25
2.4.2 Modelo de requisitos para sistemas informatizados de gestão arquivística
de documentos - e-ARQ .......................................................................................................... 28
2.4.3 Tecnologia da informação - Técnicas de segurança - Código de prática para
a gestão da segurança da informação – ABNT NBR ISO/IEC 27002 .................................... 31
2.5 Segurança da informação ............................................................................................... 38
2.5.1 Controle de Acesso ........................................................................................................ 41
3 METODOLOGIA ......................................................................................... 46
3.1 Classificação da pesquisa ................................................................................................ 47
3.2 Instrumentos e coleta de dados ..................................................................................... 47
3.2.1 Cronograma .................................................................................................................... 48
14
1 INTRODUÇÃO
Nos dias atuais a informação assume uma importância crescente dentro das
instituições, tornando-se fundamental somada à descoberta e a introdução de novas
tecnologias, oportunidades de negócios e a gestão de processos. Nesse contexto a informação
arquivística pode ser definida de forma que o conteúdo presente nos documentos
contextualize ações sistematizadas e organizadas em uma instituição. A metodologia
arquivística dá subsídios para a organização documental. Ao adotar uma metodologia baseada
em procedimentos que garantam a gestão documental resultando no bom funcionamento
institucional, evidencia a relevância da prática arquivística como um processo que contribui
para a transparência das ações institucionais.
meios de difusão das informações, como é o caso dos instrumentos de pesquisa que servem
para este fim. Além disso, ele deve propor a realização de ações para monitorar as atividades
desenvolvidas na instituição no intuito de garantir que a instituição alcance seus objetivos
assegurando a qualidade nos serviços prestados. Dessa forma, a adoção de ações para a
segurança em instituições arquivísticas é fundamental para preservar e garantir a integridade
do patrimônio documental e material.
O controle de acesso serve para monitorar quem acede aos documentos e também à
área reservada ao arquivo, devendo ser uma das medidas prioritárias nas instituições.
Pensando nisso, este trabalho traz como tema: Segurança da Informação Arquivística: o
Controle de Acesso em Arquivos Públicos Estaduais. A questão segurança da informação por
si só é muito abrangente e desta forma a pesquisa delimita-se em identificar as ações adotadas
para segurança da informação em Arquivos Públicos Estaduais sob o aspecto do controle de
acesso, tendo como referencial os pressupostos teóricos das Normalizações: e-ARQ, ISO
15489 e ABNT NBR ISO/IEC 27002.
1.1 Justificativa
cujo acesso é fácil a qualquer hora e em qualquer lugar. Assim, torna-se fundamental o
domínio da informática, o uso de programas informatizados para auxiliar nos processos gestão
da informação, e ainda, empregar medidas que reforcem a segurança das informações que
serão repassadas no meio institucional.
Esta pesquisa justifica-se ainda pela sua relevância prática e teórica. A primeira
possibilitará o contato com diferentes instituições arquivística do Brasil, compartilhando
experiências que contribuirão para que outras instituições aprimorem os métodos usados no
controle de acesso, garantindo a segurança da informação. Já a relevância teórica justifica-se
por proporcionar uma reflexão a respeito do controle de acesso como ação empregada para a
segurança da informação. O tema de estudo possui pouca bibliografia que a subsidie, por isso
Normas ISO 15489-1, e-ARQ e a ABNT NBR ISO/IEC 27002, resultam de estudos da base
teórica presente que servem para implantar sistemas mais seguros de informação arquivística
assegurando a confiabilidade no acesso aos documentos.
1.2 Objetivos
Quais as ações adotadas para controlar o acesso documental em sete (7) Arquivos
Públicos Estaduais, no intuito de garantir a segurança das informações públicas?
2 FUNDAMENTAÇÃO TEÓRICA
A importância dos arquivos pode ser verificada por Richter (2004, p. 41) quando
remonta a criação dos arquivos de estado afirmando que “os arquivos significavam direitos
para os soberanos, para os feudistas e para os juristas. Todos os estados desejavam controlar
os arquivos e nas conquistas territoriais eram valorizados como um bem precioso”.
A diplomática assume uma nova visão em relação aos seus estudos, direcionando-os a
contextualização das atividades e funções desenvolvidas em uma instituição, ou seja, estando
mais ligada a gestão de documentos. Esse desenvolvimento da diplomática, denominada,
“diplomática contemporânea é uma área nova, produto de uma revisão do desenvolvimento e
20
No entanto, uma declaração por si só não garante uma boa gestão arquivística de
documentos. Para que a implantação de uma política arquivística contribua para atingir os
objetivos de uma instituição é fundamental o comprometimento da administração com
investimento de recursos que possibilitem as atividades de gestão. Para a adoção de políticas
arquivísticas, uma instituição deve ter um embasamento teórico amplo, reconhecer suas
atividades, os documentos que produz e o contexto que eles são criados. (SFREDDO, 2008).
Para dar início à construção desta política, a instituição deve declarar oficialmente
suas intenções quanto à adoção de métodos e estratégias para a gestão de documentos.
Segundo a Câmara Técnica de Documentos Eletrônicos (2006, p. 15) “a declaração pode
incluir as linhas gerais do programa de gestão, bem como os procedimentos necessários para
que essas intenções sejam alcançadas. Deve também ser comunicada e implementada em
todos os níveis dos órgãos e entidades.”
Com essa teoria surge o processo de gestão de documentos que de acordo com Lopes
(2000) teve início nos Estados Unidos sob a denominação de Records Management,
originando a corrente de pensamento arquivístico, focada na administração e tratamento de
arquivos ativos, melhor definido como arquivo corrente. Lopes (2000) define, ainda, que são
22
A GED visa o gerenciamento completo dos documentos desde sua criação até seu
destino final, não importando se os documentos permanecem em suporte papel ou estão em
meio eletrônico. Para Rondinelli (2005) a gestão de documentos eletrônicos representa um
desafio para a comunidade arquivística, sendo que só na década de 90 buscou-se o
conhecimento do bom gerenciamento de documentos criados pela tecnologia da informação.
Nessa perspectiva a segurança da informação no século XXI é algo que as instituições buscam
alcançar para preservar a integridade das informações que serão repassadas aos usuários.
Os autores Lopes (2000) e Lopez (2002) citam a ISAD (G) (Norma Internacional de
Descrição Arquivística), como padrão utilizado nos processos descritivos no Brasil. É
relevante destacar que no final do ano de 2007 foi editada a versão final da NOBRADE
(Norma Brasileira de Descrição Arquivística) elaborada com base na ISAD (G), tendendo ser
usada como padrão de descrição no Brasil ao invés da ISAD (G). Além das normalizações
para descrição de documentos tradicionais existem normas específicas para descrição de
documentos eletrônicos, como é o caso do Modelo de Requisitos para Sistemas
Informatizados de Gestão Arquivística de Documentos (e-ARQ).
24
Essa norma estabelece orientações gerais para a descrição arquivística, devendo ser
conjugada com normas nacionais existentes, ou então servir de base para o desenvolvimento
delas. Ainda que as regras que constituem a presente norma se centrem na descrição de
documentação de arquivo permanente, também podem ser aplicadas às fases anteriores. Essa
norma contém regras gerais para a descrição arquivística que podem ser aplicadas
independentemente da forma ou do suporte dos documentos.
Sua versão final foi recentemente publicada, sendo elaborada para ser utilizada no
Brasil e pode estar em conformidade com a ISAD (G). A Norma Brasileira de Descrição deve
ser difundida tornando-se conhecida não somente pelos profissionais arquivistas, mas também
pelos profissionais das áreas afins, possibilitando, assim, o seu aperfeiçoamento.
2.4 Análise de Normas relevantes ao estudo: ISO 15489, e-ARQ e ABNT NBR ISO/IEC
27002
Essa norma mesmo sendo uma norma estrangeira é bastante citada e comentada no
meio arquivístico seja em trabalhos ou eventos que abordem a gestão de documentos. O
motivo para tamanha referência se dá devido ao fato de ser a primeira Norma ISO elaborada
especificamente para a gestão documental. As Normas ISO são conhecidas pela sua
excelência e competência na padronização de processos, sendo elaboradas pela Associação
Brasileira de Normas Técnicas (ABNT).
A ISO 15498 é dividida em duas partes, sendo a primeira composta pela parte geral,
que compreende os requisitos necessários para dar suporte a um sistema de gestão de
documentos, e a segunda parte que abrange as diretrizes necessárias para a aplicação dos
princípios citados na primeira.
que essa norma pode ser aplicada para todos os tipos documentais independentemente do seu
suporte.
A ISO 15489-1 está dividida em onze capítulos, sendo que o primeiro explicita o seu
campo de aplicação expondo o conteúdo da mesma e definindo quem pode utilizá-la. O
capítulo dois faz alusão às normalizações que originaram a ISO 15489-1, de forma bastante
sucinta. Essa norma, como pode ser utilizada por diversas áreas e pessoas diversificadas
envolvidas na gestão documental em uma instituição, traz no seu terceiro capítulo termos e
definições no intuito de esclarecer dúvidas a respeito de terminologia própria.
A Norma ISO 15489-1 apenas faz referência a ações que podem ser aplicados para o
bom funcionamento de um sistema de gestão. O capítulo seis da norma complementa o
capítulo anterior descrevendo a relevância do registro das políticas, procedimentos e das
atividades praticadas para a gestão de documentos dentro da instituição. Para a implantação
de uma política de gestão de documentos que permita gerar documentos autênticos é
fundamental que a instituição esteja consciente de seus recursos, das atividades que
desenvolve e de sua responsabilidade perante a sociedade e o usuário do arquivo, seja ele
servidor interno ou externo.
da Norma ISO 15489, Barbedo (2004, p. 108) salienta que seu uso é relevante no contexto
arquivístico, já que:
Para Santos (2007, p. 178) as funções arquivísticas são divididas em sete, seguindo a
proposta de Rosseau e Couture (1998, p. 265), se fazendo presente entre elas a função de
avaliação documental que “demanda conhecimento do funcionamento da instituição, sua
estrutura, sua missão, objetivos e atividades geradoras de documentos”, resultando na
destinação final de acordo com o valor documental evitando, assim, a eliminação equivocada
de documentos relevantes para o funcionamento institucional.
As seções nove, dez, onze, doze, treze e quatorze, trazem respectivamente: Funções
Administrativas, Conformidade com a legislação e regulamentações, Usabilidade,
Interoperabilidade, Disponibilidade, Desempenho e escalabilidade. Quanto às numerações das
seções e o sumário presente na norma é possível identificar um erro, que só pode ser
verificado no decorrer da análise de todo o documento.
O sumário apresenta as seções como foi citado anteriormente até a seção quatorze,
mas no decorrer do texto a seção onze ganha continuidade nos requisitos apresentados, porém,
é tratada da interoperabilidade e não mais da usabilidade como referenciado no sumário,
sendo contado a sessão doze a partir da disponibilidade. Este erro não altera a compreensão da
norma, entretanto pode confundir o leitor no primeiro momento parecendo que as seções
referem-se ao mesmo assunto. Os metadados, por sua vez, não são apresentados na primeira
versão da e-ARQ, sua conclusão estava em processo avaliativo. O Esquema de Metadados do
Modelo e-ARQ Brasil foi publicado na versão da e-ARQ de dezembro de 2009 e encontra-se
disponível no site1 do CONARQ.
Esta norma é a versão atual da Norma NBR ISO/IEC 17799, elaborada em 2005, que
foi atualizada em julho de 2007 para numeração NBR ISO/IEC 27002. Conforme Baldissera
(2007, p. 40) define que a origem da NBR ISO/IEC 17799:
1
[http://www.conarq.arquivonacional.gov.br]
32
2
International Engineering Consortium
33
Mesmo não sendo uma norma arquivística, a ABNT NBR ISO/IEC 27002, traz
inicialmente o objetivo de sua aplicação, termos e definições que auxiliam os usuários na
compreensão de seu conteúdo, como nas normas arquivísticas. A norma é estruturada em onze
seções e cada uma delas contém um número de categorias principais da segurança da
informação. Essas categorias contêm um objetivo de controle para definir o que deve ser
alcançado e ainda um ou mais controles que podem ser aliados a esse para alcançar os
objetivos propostos.
gerenciar a segurança das informações. O capítulo cinco traz, ainda, a análise crítica da
política de segurança da informação, que tem como controle o dever da instituição de analisar
periodicamente as mudanças que ocorrerem na política implantada para, só assim, assegurar
sua eficácia.
É no capítulo seis que são apresentados requisitos para o contato com autoridade e o
contato com grupos especiais. O primeiro refere-se aos incidentes em segurança da
informação que podem ocorrer e que tipo de autoridade pode ser contatada para cada tipo de
serviço. O segundo faz referência a contatos mantidos com grupos de interesses especiais ou
outros fóruns especializados de segurança da informação e associações profissionais.
O Capítulo sete, Gestão de ativos, trata da responsabilidade pelos ativos, ou seja, que
dentro da instituição existam responsáveis pela proteção desses ativos. Para isso convém que
todos os ativos sejam identificados e documentados em um inventário dos ativos, permitindo
recuperar em caso de desastre, incluindo o tipo de ativo, forma, localização, informação sobre
cópias de segurança, informações sobre licenças e a importância dele para a instituição. Nesse
sentido, Fontes (2008, p. 225) afirma que “para possibilitar a proteção adequada da
informação é necessário que se tenha a identificação dos ativos (recursos) de informação, seus
responsáveis, sua forma de sua classificação em termos de sigilo”.
Dentro desse processo torna-se fundamental que todas as informações e ativos aliados
aos recursos de processamento de informação possuam um proprietário3. Outro requisito
tratado dentro da gestão dos ativos é a Classificação da informação, que tem como objetivo
assegurar que a informação receba um nível adequado de proteção indicando, assim, a
necessidade e a prioridade para seu tratamento. As recomendações para classificação estão de
acordo com o seu valor, requisitos legais e sensibilidade levando em consideração as
necessidades de compartilhamento ou restrição.
3
Pessoa ou organismo responsável e autorizado para controlar a produção, o desenvolvimento, a manutenção, o
uso e a segurança dos ativos.
36
Aborda as principais áreas que devem ser objeto de especial atenção e segurança.
Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e
respectivas responsabilidades, homologação e implantação de sistemas, gerência de
redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de
backup, controle de documentação, segurança de correio eletrônico, entre outras.
37
manipulação não autorizada, visando minimizar os danos ao negócio e maximar o retorno dos
investimentos e das oportunidades de negócio”. (CAPEMISA, 2008, p. 2).
Campos (2007) afirma, ainda, que os ativos de uma forma geral podem apresentar
quatro grupos distintos conforme a vulnerabilidade, ou seja, as fraquezas, que apresentam em
relação aos incidentes de segurança da informação. O primeiro grupo é constituído pelas
tecnologias onde aparecem os computadores, arquivos de aço, impressoras, cabos de rede,
aparelhos celulares e sistemas de informação. O segundo grupo é constituído pelas pessoas
que trabalham em uma determinada instituição, podendo divulgar determinadas informações
dentro e fora do ambiente de trabalho. E ainda quando ocorre à demissão ou afastamento de
funcionário, este pode levar consigo informações confidenciais sobre o funcionamento
institucional ocasionando um incidente de segurança da informação.
O terceiro grupo é composto pelos processos e diz respeito às normas, regras e demais
medidas que deveriam ser adotadas nas instituições como forma de orientar os procedimentos
como contratações e demissões de funcionários, as relações desses com as informações
institucionais gerando, assim, um compromisso por parte do funcionário ao lidar com os
ativos da informação. O último grupo é relacionado aos ambientes, já que podem ocorrer
desastres como incêndios, alagamentos e outros. A ação dos poluentes pode causar danos em
equipamentos. Outro perigo para a segurança nos ambientes, ainda, é o acesso a pessoas que
muitas vezes mesmo não sendo permitido ocorre. (CAMPOS, 2007)
Para que o gerenciamento das informações se torne eficaz e seguro, faz-se necessário o
planejamento de medidas de segurança adotadas como forma de proteger o acesso e garantir a
confiabilidade das informações que circulam no meio institucional. A adoção de uma política
de segurança da informação deve envolver tanto funcionários quanto usuários da organização.
A sua confiabilidade dependerá do cumprimento das responsabilidades, quanto às ações de
controle e segurança das informações, pelos membros da organização. De acordo com
Baldissera (2007, p. 56) a implantação de uma Política de Segurança da Informação “surge da
necessidade de declaração de regras para: o acesso à informação; o uso da tecnologia da
organização; e o tratamento, manuseio e proteção de dados e sistemas informacionais”.
Dentro dos fatores que contribuem para a segurança da informação em uma instituição
encontra-se o controle de acesso. As normas de gestão mais recentes já fazem referência a
esse requisito, pois, quando adotado de forma eficaz e cuidadosa, pode evitar vários danos à
massa documental e à própria instituição. Conforme o Instituto dos Arquivos Nacionais/Torre
do Tombo (2002, p. 40), o controle de acesso são regras das quais “as organizações têm de
poder controlar quem está autorizado a aceder aos documentos de arquivo e em que
4
Refere-se ao diretor da área responsável pelo uso dos sistemas e serviços de informação.
42
Para que o controle de acesso se consolide em uma instituição é aconselhável que ela
elabore, de acordo com suas necessidades, uma política para o controle de acesso, verificando
o melhor modo de prevenir acidentes advindos de problemas com as novas tecnologias ou
falta de cuidados básicos com a vigilância adotada no arquivo. A Associação Brasileira de
Normas Técnicas (2005, p. 56), relata que “convém que as regras de controle de acesso e
direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de
controle de acesso”.
condições de acesso às informações. As restrições de acesso devem ser aplicadas tanto aos
funcionários quanto a usuários externos e necessitam ser revisadas periodicamente, pois
podem variar ao longo do tempo.
O uso e manutenção de senhas para acesso a sistemas deve ser uma medida adotada e
cuidadosamente planejada nas instituições. No caso de sistemas que não possuem senhas
individuais ou que tenham senhas de forma conjunta não é possível identificar quem teve
acesso às informações. Para que haja a proteção das informações decorrentes do uso de
senhas, depende do comprometimento do funcionário e/ou do usuário do sistema. Assim,
Campos (2007, p. 186), ressalta que não “adiantará uma senha muito bem elaborada se o
colaborador, após fazer o logon (digitar o nome de usuário e senha para ter acesso a um
sistema) em um determinado sistema, ausentar-se e deixar o computador logado”.
O controle é citado na Norma ABNT NBR ISO/IEC 27002, como sendo importante
em locais de alto risco, os quais incluem áreas públicas ou externas fora dos limites do
gerenciamento de segurança da organização. Essa norma faz referência ao controle de acesso
não autorizado aos serviços de rede, relatando basicamente sobre os cuidados com o trabalho
remoto. Realizar o desligamento das seções previne o acesso por pessoas não autorizadas e
ataques de negação de serviço. Deve existir um controle de acesso das redes de serviços
internas e para que o usuário com acesso às redes e aos serviços de rede não comprometa a
segurança dos mesmos.
e proteção das informações. Da mesma forma que o bloqueio de sites é muito comum em
instituições públicas e privadas como forma de controlar o acesso a internet não deixando
livre o acesso ao usuário e/ou funcionário da instituição. O mais comum é a proibição de sites
de relacionamento como: orkut, facebook e twitter.
Normas como e-ARQ, ISO 15489 e ABNT NBR ISO/IEC 27002 podem auxiliar uma
instituição na implementação de ações para o controle de acesso. A última norma, mais
especificamente, pode contribuir para aplicar e definir uma política de controle de acesso e,
45
também dar subsídios para a instituição desenvolver uma política completa de segurança da
informação.
É relevante destacar, ainda, que estas normas são orientações para que as instituições
tenham conhecimento sobre o assunto. O interesse em evitar problemas com a segurança das
informações deve partir da própria instituição, seguindo as medidas que melhor atendam as
necessidades de segurança, em consonância com a legislação vigente, regulamentos e normas
internas estabelecidas pela própria instituição. Para isso de imediato é necessário a aplicação
de ações simples de controle de acesso e segurança, para posteriormente, e em conjunto com a
administração criar e aplicar uma política que contemple todas estas medidas garantindo a
segurança dos ativos de informação, evitando incidentes.
46
3 METODOLOGIA
O universo da presente pesquisa é composto por Arquivos Públicos Estaduais, para tal,
foram escolhidas 13 instituições, tendo como critério uma pesquisa no site do CONARQ
realizando uma busca apenas aos arquivos que tivessem um site acessível para contato e que
possuíssem endereço de e-mail ou um campo específico para enviar mensagem direta ao
arquivo. Caso algum não atendesse a esses critérios, seriam excluídos da pesquisa. Os
arquivos públicos estaduais mencionados no site do CONARQ, representadas no Quadro 1,
são respectivamente:
O contato inicial com as instituições deu-se a partir dos sites disponíveis para acesso
onde foi possível identificar um e-mail para contato ou contato direto ao arquivo através do
preenchimento de alguns dados e envio de uma mensagem, na seção: Fale Conosco. Só foram
considerados válidos para participação na pesquisa os arquivos públicos estaduais que
tivessem os endereços eletrônicos (sites) acessíveis. Após o acesso ao site de cada arquivo,
solicitou-se um endereço de e-mail da pessoa responsável, sendo ele (a) diretor (a) ou membro
da equipe técnica, e dessa forma manteve-se contato até obter uma resposta das instituições
totalizando, no mínimo, duas vezes para tentativas de envio de mensagens.
3.2.1 Cronograma
Coleta de Dados: A coleta de dados foi realizada por meio eletrônico com
dezoito (18) dias para a devolução dos questionários.
Para dar menção às datas realizadas na coleta dos dados da presente pesquisa, foi
elaborado um cronograma simplificado, objetivando a análise dos passos realizados até a
conclusão da pesquisa e o tempo destinado para sua execução.
C R O N O G R A M A
Legenda:
1- Pesquisa no site do CONARQ e definição 2- Estabelecimentos dos contatos com as
das instituições instituições
3- Envio e recebimento dos instrumentos de 4 - Análise dos dados
coleta de dados
O capítulo quatro traz uma breve apresentação sobre os Arquivos Públicos Estaduais
que participaram desta pesquisa.
51
Este capítulo é constituído por uma síntese das atividades, histórico e ações mais
relevantes dos Arquivos Públicos Estaduais que participaram da pesquisa. Estes dados foram
retirados dos sites dos arquivos para melhor compreender suas trajetórias como instituições
arquivísticas, desempenhando suas funções em cada estado que representam.
5
Informações sobre o arquivo, retiradas do site: <http://www.arpdf.df.gov.br/>
52
O Arquivo Público do Paraná6 foi criado pela Lei n.º 33, sancionada pelo 1º Presidente
da Província do Paraná, Conselheiro Zacarias de Góes e Vasconcellos, em 7 de abril de 1855.
Denominado "Archivo Publico", tinha como finalidade reunir a memória impressa e
manuscrita sobre a história e geografia do Paraná , - incluindo coleções de leis provinciais e
gerais -,e funcionou por todo o período provincial (1855-1889) junto ao Palácio da
Presidência onde foi instalada a Secretaria do Governo Provincial. No âmbito administrativo,
desde a sua criação, o Arquivo Público do Paraná recebeu diferentes denominações e
pertenceu a diversas secretarias. Sua primeira sede foi na Rua XV de Novembro. A segunda
na Rua Mal. Floriano Peixoto. Em terreno da Rua dos Funcionários foram edificadas e
adaptadas sedes em 1960, 1978 e 2001. Em 2001 foi inaugurada a nova sede (Figura 2), no
mesmo terreno da Rua dos Funcionários.
6
Informações sobre o arquivo, retiradas do site: <http://www.arquivopublico.pr.gov.br/>
53
A nova sede possui 12 áreas de guarda de documentos, que podem abrigar até 13 mil
metros lineares de documentos – se aplicada as técnicas de avaliação e gestão de documentos,
- ambientes próprios para as atividades de higienização e reparos, de microfilmagem e
digitalização (reprografia), sala de consultas, auditório, áreas administrativas e Espaço
Cultural que abrange a biblioteca de apoio à pesquisa e aos acervos bibliográficos dos
professores Cecília Maria Westphalen e Ruy Wachowicz, e local para exposições, totalizando
5.523 m2. A identificação do arquivo encontra-se no Quadro 4.
7
Informações sobre o arquivo, retiradas do site: <http://www.ape.es.gov.br/index2.htm>
54
O acervo de origem privada é composto por quatro (4) fundos documentais, nas quais
constam arquivos pessoais de um ex-governador, um político, uma historiadora e um
desembargador. A localização e horários de funcionamento do arquivo podem ser verificados
no Quadro 5.
8
Informações sobre o arquivo, retiradas do site:: <http://www.siaapm.cultura.mg.gov.br/>
55
10
Informações sobre o arquivo, retiradas do site:
<http://www.sea.sc.gov.br/index.php?option=com_content&task=view&id=90&Itemid=245&lang=>
58
l
Arquivo Público do Estado de Santa Catarina
Rua Duque de Caxias, 261 – Saco dos Limões – Cx Postal 138
CEP: 88045-250 – Florianópolis, SC.
Telefone: (048) 3239-6000 / 3239-6086
Horário de Funcionamento - de segunda a sexta-feira, das 13 às 19 horas
Horário de Atendimento - de segunda a sexta-feira, das 13h30min às 18h30min
11
Informações sobre o arquivo, retiradas do site: <http://www.arquivoestado.sp.gov.br/ins_historico.php>
59
Neste capítulo será apresentada a análise dos dados coletados na presente pesquisa.
Serão discutidos os objetivos desta investigação, com a finalidade de responder às perguntas
de pesquisa propostas. A principal finalidade deste capítulo é expor as ações realizadas para o
controle de acesso nos arquivos públicos estaduais estudados que contribuem para garantir e
proteger a segurança das informações.
O contato com as instituições deu-se por e-mail e também por telefone institucional, o
que possibilitou a coleta total de sete (7) questionários válidos (de acordo com os critérios
metodológicos). Os Arquivos Públicos Estaduais que participaram desta pesquisa, em busca
de responder as indagações propostas, são apresentados juntamente com seu endereço
eletrônico no Quadro 10:
12
[http://www.conarq.arquivonacional.gov.br/cgi/cgilua.exe/sys/start.htm]
61
Neste subcapítulo será abordado o uso pelas instituições de políticas de GED. Essa
questão foi levantada, pois de nada adiantaria estudar o controle de acesso objetivando
proteger as informações, sistemas, equipamentos e o ambiente institucional, se as informações
não estiverem gerenciadas seguindo metodologias apropriadas, possibilitando o acesso aos
usuários de forma eficiente, além de segura.
dado de que apenas uma (1) das instituições não tem políticas de gestão de documentos
implementadas, enquanto seis (6) afirmaram que a instituição aplicava essas políticas.
Foi possível verificar que 85,71% das instituições possuem políticas de gestão de
documentos demonstrando, assim, a relevância dos processos de gestão e ações desenvolvidas
pelas instituições desde a produção até a destinação final dos documentos, contribuindo para a
racionalização e acesso às informações. Apenas a instituição APE 07 não possui políticas de
gestão de documentos implementadas, correspondendo a 14,29% das respostas, sendo de
melhor compreensão pelo Gráfico 1: Gestão de Documentos.
85,71% Sim
Não
14,29%
Com a finalidade de averiguar o uso de GED nos arquivos públicos estaduais foi
questionado aos entrevistados se a gestão de documentos, aplicada nos arquivos, abrangia
políticas de GED. Foi possível constatar que apenas uma instituição afirmou adotar políticas
de GED, sendo que as outras seis não adotam essa técnica, até o presente momento. Na
Tabela 2: Gestão Eletrônica de Documentos denota-se que 85,71% das instituições não
aplicam políticas de GED enquanto que 14,29% aplicam.
O único entrevistado que afirmou que a instituição aplicava políticas de GED, foi o
APE 01, não sendo necessário explicar sobre o assunto. O Gráfico 2: Gestão Eletrônica de
Documentos, representa o percentual das respostas.
Sim;
14,29%
Não;
85,71%
Conforme Silva (2004), para usar a GED não é necessário que as informações estejam
em meio eletrônico, ou seja, um documento em papel pode cumprir seu fim e posteriormente,
64
se for de interesse da instituição, pode ser arquivado em meio eletrônico. De acordo com
Filipakis (2009), o uso de sistemas de GED possibilita além do gerenciamento da informação,
o seu controle e armazenamento de forma eficaz, agilizando o fluxo de trabalho contribuindo
para o desempenho institucional. Nesse sentido, Flores (2006, p. 89), complementa ainda que
a “principal vantagem da GED é a de compartilhar informações em tempo real”.
O entrevistado APE 02 está em uma fase mais a frente dos outros arquivos, pois
relatou que participa de um grupo de estudos que está organizando um projeto para a
implantação do documento eletrônico. Para ele: “a base do projeto são os instrumentos
arquivísticos produzidos, ou seja, o Plano de Classificação e a Tabela de Temporalidade de
Documentos”. A resposta do entrevistado está em concordância com Flores (2006, p. 89) ao
relatar que “a GED está caracterizada pela categorização documental, tabelas de
temporalidade documental, ações de disposição e níveis de segurança”.
A informação e tudo aquilo que a suporta e a utiliza são considerados ativos. Para
Campos (2007), o ativo pode ser definido como um bem patrimonial em função do seu valor.
A proteção dos ativos de informação torna-se fundamental à medida que contribui para evitar
um incidente de segurança da informação, que de acordo com Campos (2007, p. 25) são
acontecimentos que podem “causar interrupções ou prejuízos aos processos do negócio, em
consequência da violação de um dos princípios de segurança da informação”.
Sim 6 85,71%
Não 1 14,29%
Total 7 100%
Para representar melhor visualmente os dados coletados junto aos informantes, foi
elaborado o Gráfico 3: Política de Controle de Acesso.
Não;
14,29%
Sim; Sim
85,71% Não
A Associação Brasileira de Normas Técnicas (2005, p. 56) relata que “convém que as
regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam
expressas claramente na política de controle de acesso”. A política de controle de acesso é um
dos pontos, dentro da política da segurança da informação, que pode ser elaborada nas
instituições para contribuir na proteção das informações. No entanto, a ABNT NBR ISO/IEC
27002 define que a política de controle de acesso deve ser estabelecida documentada e
analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e
segurança da informação. Assim, é relevante destacar que não basta às instituições elaborarem
uma política de controle de acesso, se esta não for devidamente registrada e, sobretudo,
conhecida pelas pessoas que trabalham com o tratamento da informação, e também por
aqueles que possuem o direito de acesso a ela.
67
Nesse sentido, ainda dentro da questão anterior foi solicitado aos entrevistados que
afirmaram que a instituição possuía uma política de controle de acesso, descrevessem como
era o funcionamento, para assim compreender a política adotada em cada arquivo. As
respostas variaram de acordo com a política seguida em cada instituição em estudo, sendo as
respostas bem diversificadas.
meio eletrônico o guia de fundos de um dos acervos (que não será citado para não identificar
o arquivo). Trabalham por demanda, digitalizando acervos que são solicitados. Esses acervos
não são apenas documentos textuais, mas também documentos sonoros que são migrados para
o meio digital correspondendo as demandas de pesquisadores. “Trabalhamos na descrição
arquivística de acervos com grande potencial informativo, pois entendemos que mais do que
acessar o documento, o usuário precisa conhecer nossos fundos documentais”.
A preocupação com o acesso às informações pode ser verificada por meio do APE 06,
quando afirma que a política de controle de acesso adota o uso de normas de descrição do
acervo. Complementando o exposto Castanho, Garcia e Silva (2006, p.37), referindo-se ao
acesso às informações arquivísticas salientam que “o objetivo da arquivística é tornar as
informações acessíveis ao usuário, por meio do tratamento das mesmas, buscando valorizar o
conteúdo informacional dos documentos, sem desconsiderar sua organicidade.”
A respeito disso, a Norma ISO 15489-1, em resumo, ressalta que as instituições devem
criar normas ou regras formalizadas que direcionem as restrições, permissões e condições de
acesso às informações. As restrições de acesso devem ser aplicadas tanto aos funcionários
quanto a usuários externos e necessitam ser revisadas periodicamente, pois podem variar ao
70
Conforme pode ser observado alguns entrevistados fizeram referência também ao uso
de regras e normas internas para acesso aos documentos sendo de conhecimento do usuário
para que este esteja ciente de suas responsabilidades. A política de controle de acesso deve ser
embasada em normas que a definam e deem um direcionamento as ações implementadas na
instituição. Assim sendo, o seguinte questionamento objetivou constatar se a aplicação dessa
política de controle de acesso, nas instituições, seguia alguma normalização. Na Tabela 4:
Uso de normalizações, apresentam-se as respostas conforme a realidade institucional dos
entrevistados.
Sim
85,71%
Não
14,29%
O pesquisado APE 03, ao invés de citar normalização, citou normas internas que se
referem ao acesso do usuário na instituição, deixando subentendido que a política é baseada
praticamente em normas internas estabelecidas pela própria instituição. Da mesma forma o
sujeito APE 05 citou as normas como sendo o uso de “princípios e rotinas arquivísticas de
preservação e atendimento ao pesquisador, bem como atenção quanto à legislação federal e
estadual, e também quanto ao tratamento à documentação pública histórica”.
Lei 11.111 como sendo as normas seguidas para a elaboração da política de controle de
acesso na instituição.
Cabe ressaltar que o uso das Normalizações assegura a qualidade dos processos de
gestão, buscando que os documentos cumpram seu fim, permanecendo acessíveis o maior
tempo possível. As instituições estudadas demonstram a preocupação com o uso de
normalizações, mesmo não referenciando o controle de acesso, sendo que sua aplicação
contribui para a organização institucional ao definir ações que objetivam o acesso e proteção
das informações. Dessa forma, destaca-se a definição de Beyea, (2007, p. 34) para motivar as
instituições na aplicação de normalizações, ao definir que os “arquivistas devem ser instruídos
sobre o objetivo e os detalhes de uma norma. Eles devem ser encorajados a apoiar e a
implementar normas. Normas devem ser mantidas e revisadas”.
Para garantir a segurança nos arquivos, segundo essa mesma norma, é relevante o uso
de perímetros de segurança, que podem ser as paredes, portões de entrada controlados por
cartão ou balcões de recepção com recepcionistas para proteger e evitar o acesso livre as áreas
que contenham as informações e instalações de processamento da informação. Nessas áreas só
podem ter acesso as pessoas que possuírem autorização. Para isso, é fundamental reforçar o
controle nos locais onde é guardada a documentação, pois essa área pode ser considerada de
risco, baseado no propósito que a informação como um ativo institucional, deve ser protegida
e permanecer segura.
- Todos os funcionários;
- Pesquisadores;
- Usuários;
- Outros.
74
Somente
Todos os funcionários
funcionários; responsáveis pela
20% gestão
documental; 40%
Outros; 10%
Visitantes, com
acompanhamento
Usuários; 0 de responsáveis;
Pesquisadores; 0
30%
Em muitos arquivos o usuário só tem acesso à sala de consulta, onde pode realizar a
pesquisa documental, e dentro dela seguem normas elaboradas com o intuito de manter a
ordem no local e proporcionar o acesso com segurança, evitando possíveis danos às
informações. A existência de uma sala de consulta demanda a criação de regras para acesso a
esses usuários. Regras estas, que existem nos arquivos públicos estaduais e foram citados no
subcapítulo anterior, (As políticas de controle de acesso nos Arquivos Públicos Estaduais)
incluídas dentro da política de controle de acesso das instituições. Com a finalidade de
examinar a existência de salas de consultas nos arquivos públicos estaduais, foi questionado
aos entrevistados se a instituição possuía sala de consulta. A partir desse questionamento, foi
possível obter o dado de que para a totalidade dos informantes, as instituições possuem sala
de consulta para usuários, conforme Tabela 6: Sala de consulta.
Sim 7 100%
Não 0 0
Total 7 100%
Visando esboçar melhor as respostas dos entrevistados foi elaborado o Gráfico 6: Uso
de computadores por usuários na sala de consulta, que demonstra claramente que 57,14% das
respostas são afirmativas, e 42,86% representam as respostas negativas, resultando que a
maioria dos arquivos dispõe de computadores para acesso a usuários.
Não;
42,86%
Sim;
57,14%
Cabe salientar que as instituições que possuem sala de consulta com acesso a
computadores para usuários foram o APE 01, APE 03, APE 04 e o APE 06. Essas instituições
devem ter cuidados redobrados quanto à segurança da informação, elaborando regras para
condicionar esse acesso, também, como forma de manter o desempenho institucional sem
comprometer a segurança de sistemas, das informações e dos equipamentos. Por outro lado,
as instituições que não possuem computadores para acesso a usuário são APE 02, APE 05 e
APE 07. Pode-se dizer que essa instituição possui um risco menor quanto à segurança das
informações se baseado no fato do que não possibilitam o uso de sistemas computacionais a
usuários.
As regras de acesso existentes nos arquivos devem servir de auxilio para a elaboração
de regras e normas específicas para acesso e uso de computadores, necessitando ser também
conhecidas pelos usuários. Os computadores utilizados na sala de consulta podem ser
compartilhados por várias pessoas, representando um risco tanto para a segurança da
instituição quanto do próprio usuário, sendo “o elemento que faz a diferença para que o
processo de segurança exista de forma eficaz. Para tanto, ele precisa ser treinado e
conscientizado. Isso acontecendo, o usuário sairá do estágio de envolvimento com a
segurança para o estágio de comprometimento”. (FONTES, 2008, p 186).
77
logo após foi a medida “Uso de credenciais de identificação”, por funcionários” com 5
citações, depois, as “Cópias de segurança” e o “Bloqueio de sites não autorizados, por
funcionários” com 4 citações, e com 3 citações apareceu o “Bloqueio de sites não
autorizados, por usuários”.
Outro
Mostra-se relevante ressaltar que as ações de controle de acesso comuns para fins de
análise desta pesquisa foram consideradas aquelas que, por meio da questão anterior, são
realizadas por mais de uma instituição. No Quadro 11 é possível visualizar a relação de
respostas entre as instituições pesquisadas, a respeito das ações de controle de acesso
consideradas comuns nesta pesquisa.
5. Bloqueio de sites não autorizados, por funcionário; APE APE APE APE
01 02 03 06
7. Uso de credenciais de identificação, por funcionário; APE APE APE APE APE
01 03 04 06 07
8. Cadastro dos usuários do arquivo; APE APE APE APE APE APE
01 02 03 05 06 07
Deste modo, as ações realizadas para controle de acesso que são comuns nos arquivos
públicos estaduais são: Cadastro dos usuários de arquivo; Uso de credenciais de identificação,
por usuário e por funcionário; Cópias de segurança; Senha individual de acesso ao sistema
operacional, por funcionário; Bloqueio de sites não autorizados, por usuário e por funcionário;
Bloqueio de sites não autorizados, por funcionário e Autorização para uso de rede sem fio, por
funcionário.
O controle do acesso de acordo com a Norma e-ARQ pode ser realizado por meio do
cadastro dos usuários (um identificador de usuário), crachá de identificação (uso de
credenciais de autenticação), ou por com autorizações para acesso. As instituições
pesquisadas, em questões anteriores, não citaram o uso da e-ARQ como referência para a
política de controle de acesso implementada na instituição, no caso das instituições que
possuem uma política de controle de acesso. Ainda assim, estabelecem os requisitos presentes
na norma referente ao cadastro de usuários e o uso de credenciais de identificação.
p. 206) quando salienta que “identificação individual, controle de senhas, acesso à informação
confidencial e cópias de segurança são as primeiras preocupações da organização e
consequentemente são os primeiros controles a serem desenvolvidos”.
6 CONSIDERAÇÕES FINAIS
O foco desse estudo, no caso, o controle de acesso, encontra-se dentre os fatores que
contribuem para a segurança da informação em uma instituição. Para que o gerenciamento das
informações se torne eficaz e seguro, faz-se necessário o planejamento de medidas de
segurança adotadas como forma de proteger o acesso e garantir a confiabilidade das
informações que circulam no meio institucional.
Inicialmente cabe registra que para este trabalho buscou-se analisar a teoria
arquivística a respeito do tema de pesquisa e usar, também, como referencial teórico as
Normas ISO 15489, e-ARQ e a ABNT NBR ISO/IEC 27002. Dessa forma foi possível
conhecer os procedimentos existentes para aplicação do controle de acesso e, assim, verificar
e identificar quais ações eram realizadas pelos Arquivos Púbicos Estaduais pesquisados.
Apesar dessas dificuldades, foi possível verificar que há um interesse, por parte das
instituições em implementar políticas de GED. Esse fato ficou visível já que a maioria dos
entrevistados relatou que estão realizando um estudo sobre o assunto, para possível aplicação.
Esse fato denota a consciência que os Arquivos Públicos Estaduais possuem quanto à
relevância dessa técnica para os serviços de gestão arquivística.
83
Com base no estudo realizado, ficou evidenciado que há uma política de controle de
acesso presente nos arquivos públicos estudados. Vale aqui ressaltar que apenas um
entrevistado afirmou que o arquivo não possuía uma política para controle de acesso, mesmo
assim, essa instituição realiza ações para controle de acesso e preocupa-se com a proteção das
informações que serão repassadas aos usuários, baseando-se no que foi possível verificar. A
política de controle de acesso é um dos pontos dentro da política da segurança da informação
que deve ser planejada e implementada nas instituições para contribuir para a proteção das
informações.
4ª – Os usuários têm acesso livre ao guia de fundo em ambiente on-line, como forma
de conhecer o acervo da instituição. Trabalham por demanda, digitalizando acervos que são
solicitados, no caso por pesquisadores. A política dessa instituição é baseada no princípio de
84
que o usuário necessita conhecer o acervo presente no arquivo além de apenas acessar os
documentos;
A pesquisa indicou que as ações realizadas para o controle de acesso comum nos
arquivos públicos estaduais são: Cadastro dos usuários de arquivo; Uso de credenciais de
identificação, por usuário e por funcionário; Cópias de segurança; Senha individual de acesso
ao sistema operacional, por funcionário: Bloqueio de sites não autorizados, por usuário e por
funcionário; e Autorização para uso de rede sem fio, por funcionário.
85
Deve-se salientar ainda que, embora nenhum modelo de controle de acesso seja
totalmente perfeito, as instituições devem sempre procurar elaborar aquele que melhor se
encaixe as necessidades institucional de modo que se consiga minimizar, cada vez mais, os
riscos de incidentes em segurança da informação.
86
REFERÊNCIAS
BEYEA, Marion et. al. A Favor de Normas para a Prática Arquivística. Acervo: revista do
Arquivo Nacional. Rio de Janeiro: Arquivo Nacional, v. 20 n. 1-2, p. 31-38, jan/dez 2007.
___. Conselho Nacional de Arquivos. Lei n. 8.159, de 8 de janeiro de 1991. Dispõe sobre a
política nacional de arquivo público e privados e dá outras providências. Diário Oficial.
Brasília, n. 6, p 455, 9 de janeiro de 1999, seção 1.
CASTANHO, Denise Molon; GARCIA, Olga Maria Correa; SILVA; Rosani Beatriz Pivetta.
Arranjo e descrição de documentos arquivísticos. Santa Maria: Universidade Federal de
Santa Maria, 2006.
HENRIQUES, Cecília. ISO 15489-1 e ISO/TR 15489-2: uma Norma para gestão de
arquivos. Instituto dos Arquivos Nacionais/Torre do Tombo, 2002. Disponível em:
<www.dotecome.com/infoimagem/infoimagem/info38/38art3.htm - 15k> Acesso em 21 abr.
2008.
SANTOS, Vanderlei Batista dos. Gestão de documentos eletrônicos: uma visão arquivística.
Brasília: ABARQ, 2005.
SILVA, André Thiago Souza da; SALDANHA, Hugo Vasconcelos. Controle de Acesso
Baseado em Papéis na Informatização de Processos Judiciais. Monografia (Bacharelado
em Ciência da Computação). Universidade de Brasília - UnB. Brasília, 2006.
SUDRÉ, Gilberto. Mídias removíveis: risco a segurança das suas informações. Setembro de
2005. Disponível em: < http://imasters.uol.com.br/artigo/3591/seguranca/midias_removiveis_
risco_a_seguranca_das_suas_informacoes/>. Acesso em: 18 mai. 2010.
YIN, Robert K. Estudo de Caso: planejamento e métodos. Porto Alegre: Bookman, 2001.
90
APÊNDICES
91
QUESTIONÁRIO DE PESQUISA
josisfreddo@mail.ufsm.br
flores@smail.ufsm.br
Instituição: _________________________________________________________________
Nome do Entrevistado: _______________________________________________(Em sigilo)
Cargo/função que exerce: ______________________________________________________
GESTÃO DE DOCUMENTOS
( ) Sim ( ) Não
( ) Sim ( ) Não
( ) Sim ( ) Não
( ) Sim ( ) Não
3. Quem possui acesso livre aos locais de guarda da documentação? (pode ser marcada
mais de uma opção)
( ) Sim ( ) Não
( ) Sim ( ) Não
94
5. Marque a (as) medida (as) adotada (as) para o controle de acesso às informações,
ambientes e equipamentos na instituição:
Obrigada!
95
Responsável